Algemene Voorwaarden

Artikel 1 — Definities

1.1 Dienstverlener: Gentic Security, gevestigd te Het Nieuwe Diep 33-T, 1781 AD Den Helder.

1.2 Opdrachtgever: De natuurlijke persoon of rechtspersoon die met Dienstverlener een overeenkomst aangaat voor de afname van managed cybersecurity diensten.

1.3 Overeenkomst: De overeenkomst tussen Dienstverlener en Opdrachtgever, inclusief alle bijlagen, SLA's, offertes en deze algemene voorwaarden.

1.4 Diensten: Alle door Dienstverlener geleverde managed cybersecurity diensten, waaronder maar niet beperkt tot: Endpoint Protection (managed antivirus en/of EDR), e-mailbeveiliging, dark web monitoring, secure browsing, cloud data bescherming, 24/7 SOC monitoring, Managed Detection & Response (MDR), Identity Protection (ITDR), vulnerability scanning, patch management en aanverwante diensten.

1.5 Eindgebruiker: Een individuele medewerker of gebruiker binnen de organisatie van Opdrachtgever die gebruik maakt van de Diensten.

1.6 Incident: Een gebeurtenis of reeks gebeurtenissen die de vertrouwelijkheid, integriteit of beschikbaarheid van de ICT-omgeving van Opdrachtgever (dreigt te) schaad(t)(en).

1.7 Platform: Het door Dienstverlener ingezette cybersecurity platform waarmee de Diensten worden geleverd.

Artikel 2 — Toepasselijkheid

2.1 Deze algemene voorwaarden zijn van toepassing op alle aanbiedingen, offertes, overeenkomsten en leveringen van diensten door of namens Dienstverlener.

2.2 Afwijkingen van deze voorwaarden zijn uitsluitend geldig indien schriftelijk en uitdrukkelijk overeengekomen.

2.3 De toepasselijkheid van eventuele inkoop- of andere voorwaarden van Opdrachtgever wordt uitdrukkelijk van de hand gewezen.

2.4 Indien enige bepaling van deze algemene voorwaarden nietig is of vernietigd wordt, blijven de overige bepalingen onverminderd van kracht.

Artikel 3 — Aard van de dienstverlening

3.1 De Overeenkomst verplicht Dienstverlener tot een inspanningsverplichting en uitdrukkelijk niet tot een resultaatsverplichting. Dienstverlener zal zich naar beste vermogen inspannen om de overeengekomen Diensten te leveren conform de geldende standaarden in de cybersecurity-branche.

3.2 Dienstverlener garandeert niet dat de Diensten alle cyberaanvallen, datalekken, malware-infecties of andere beveiligingsincidenten zullen voorkomen. Geen enkele beveiligingsoplossing biedt volledige bescherming. De Diensten zijn bedoeld om het risico op en de impact van beveiligingsincidenten significant te verminderen, niet om deze volledig uit te sluiten.

3.3 Dienstverlener maakt voor de uitvoering van de Diensten gebruik van technologieën en platformen van gespecialiseerde derde partijen (onderaanbieders). Dienstverlener selecteert deze partijen zorgvuldig, maar is niet aansprakelijk voor storingen, uitval of tekortkomingen van deze onderaanbieders, tenzij sprake is van opzet of grove schuld aan de zijde van Dienstverlener.

3.4 De Diensten worden geleverd op basis van het door Opdrachtgever gekozen pakket (Gentic Basis, Gentic Pro of Gentic Custom). De inhoud en reikwijdte van elk pakket is vastgelegd in de offerte en/of de dienstbeschrijving op de website van Dienstverlener.

Artikel 4 — Aanbiedingen en offertes

4.1 Alle aanbiedingen en offertes van Dienstverlener zijn vrijblijvend en geldig voor een periode van 30 dagen, tenzij anders aangegeven.

4.2 Offertes gelden niet automatisch voor toekomstige of vervolgopdrachten.

4.3 De overeenkomst komt tot stand op het moment dat Opdrachtgever de offerte schriftelijk of elektronisch aanvaardt, dan wel wanneer Dienstverlener feitelijk met de uitvoering van de Diensten aanvangt.

Artikel 5 — Prijzen en betaling

5.1 Alle genoemde prijzen zijn exclusief btw en andere heffingen van overheidswege, tenzij uitdrukkelijk anders vermeld.

5.2 De maandelijkse abonnementskosten worden per maand vooraf gefactureerd. Bij een jaarabonnement worden de kosten maandelijks gefactureerd tegen het gereduceerde jaartarief.

5.3 Eenmalige installatiekosten worden gefactureerd bij aanvang van de Diensten, tenzij deze zijn kwijtgescholden als onderdeel van een jaarabonnement.

5.4 Betaling dient te geschieden binnen 14 dagen na factuurdatum, tenzij anders schriftelijk overeengekomen. Betaling geschiedt zonder verrekening of opschorting.

5.5 Bij niet-tijdige betaling is Opdrachtgever van rechtswege in verzuim en is de wettelijke handelsrente verschuldigd, alsmede buitengerechtelijke incassokosten conform het Besluit vergoeding voor buitengerechtelijke incassokosten, met een minimum van €40,-.

5.6 Dienstverlener is gerechtigd de tarieven jaarlijks per 1 januari te indexeren op basis van de consumentenprijsindex (CPI) van het CBS, met een minimum van 0% en een maximum van 5%. Indexering wordt minimaal dertig (30) dagen vooraf schriftelijk medegedeeld.

Artikel 6 — Verplichtingen Opdrachtgever

6.1 Opdrachtgever verstrekt Dienstverlener tijdig alle informatie en toegangsgegevens die nodig zijn voor de uitvoering van de Diensten, waaronder maar niet beperkt tot beheerdersrechten op endpoints, e-mailomgevingen en cloudomgevingen.

6.2 Opdrachtgever draagt zorg voor een adequate basisinfrastructuur, waaronder werkende internetverbindingen, actuele licenties van besturingssystemen en medewerking van eventuele IT-beheerders.

6.3 Opdrachtgever zal de door Dienstverlener geïnstalleerde beveiligingssoftware niet uitschakelen, verwijderen of wijzigen zonder voorafgaande schriftelijke toestemming van Dienstverlener.

6.4 Opdrachtgever is verantwoordelijk voor het naleven van de beveiligingsadviezen van Dienstverlener en het informeren van Dienstverlener over wijzigingen in de ICT-omgeving die van invloed kunnen zijn op de Diensten.

6.5 Opdrachtgever meldt Incidenten onverwijld aan Dienstverlener via de overeengekomen communicatiekanalen.

Artikel 7 — Duur en opzegging

7.1 De Overeenkomst wordt aangegaan voor onbepaalde tijd (maandelijks opzegbaar) of voor een bepaalde tijd van twaalf (12) maanden (jaarabonnement), zoals overeengekomen in de offerte.

7.2 Bij een maandabonnement kan de Overeenkomst door beide partijen schriftelijk worden opgezegd met inachtneming van een opzegtermijn van één (1) kalendermaand.

7.3 Bij een jaarabonnement wordt de Overeenkomst na afloop van de minimale looptijd automatisch omgezet naar een maandabonnement, tenzij partijen schriftelijk anders overeenkomen.

7.4 Dienstverlener is gerechtigd de Overeenkomst met onmiddellijke ingang te ontbinden indien Opdrachtgever in surseance van betaling verkeert, faillissement is aangevraagd of verleend, of de onderneming wordt gestaakt.

Artikel 8 — Beveiligingsadvies en risicoaanvaarding (waiver)

8.1 Dienstverlener adviseert Opdrachtgever over het beveiligingsniveau dat naar professioneel oordeel passend is voor de organisatie van Opdrachtgever. Dit advies wordt schriftelijk vastgelegd.

8.2 Indien Opdrachtgever besluit een lager beveiligingsniveau af te nemen dan geadviseerd, of besluit een specifiek beveiligingsadvies van Dienstverlener niet op te volgen, wordt Opdrachtgever verzocht een risicoaanvaardingsverklaring (waiver) te ondertekenen conform het model in Bijlage A.

8.3 De ondertekening van de waiver laat onverlet dat Dienstverlener de overeengekomen Diensten met professionele zorg zal blijven uitvoeren.

8.4 Dienstverlener behoudt zich het recht voor om het advies periodiek te herhalen en de waiver te actualiseren, in het bijzonder bij gewijzigde dreigingsniveaus of na een beveiligingsincident.

Artikel 9 — Aansprakelijkheid

9.1 De totale aansprakelijkheid van Dienstverlener voor directe schade is beperkt tot het bedrag dat Opdrachtgever in de twaalf (12) maanden voorafgaand aan de schadeveroorzakende gebeurtenis daadwerkelijk aan Dienstverlener heeft betaald, met een absoluut maximum van tweehonderdvijftigduizend euro (€250.000,-).

9.2 Dienstverlener is nimmer aansprakelijk voor indirecte schade, waaronder maar niet beperkt tot: gevolgschade, gederfde winst, gemiste besparingen, schade door bedrijfsstagnatie, reputatieschade, verlies van gegevens en schade door aanspraken van derden.

9.3 De in dit artikel opgenomen beperkingen gelden niet indien de schade het gevolg is van opzet of bewuste roekeloosheid van de bedrijfsleiding van Dienstverlener.

9.4 Onverminderd het bepaalde in de overige leden van dit artikel, is Dienstverlener in geen geval aansprakelijk voor schade die het gevolg is van:

• Zero-day aanvallen of voorheen onbekende kwetsbaarheden;
• Het door Opdrachtgever uitschakelen, verwijderen of wijzigen van beveiligingssoftware;
• Het niet opvolgen van beveiligingsadviezen van Dienstverlener;
• Ontoereikende wachtwoorden, het ontbreken van MFA of andere tekortkomingen in het beveiligingsbeleid van Opdrachtgever;
• Storingen, uitval of beveiligingsinbreuken bij onderaanbieders of cloudplatformen;
• Handelen of nalaten van Eindgebruikers van Opdrachtgever, waaronder het klikken op phishing-links na waarschuwing;
• Situaties waarvoor Opdrachtgever een risicoaanvaardingsverklaring (waiver) heeft ondertekend.

9.5 Elke vordering tot schadevergoeding vervalt twaalf (12) maanden na de datum waarop Opdrachtgever bekend werd of redelijkerwijs bekend had kunnen zijn met de schade.

Artikel 10 — Vrijwaring

10.1 Opdrachtgever vrijwaart Dienstverlener voor alle aanspraken van derden die verband houden met de door Dienstverlener geleverde Diensten, tenzij de aanspraak het directe gevolg is van opzet of bewuste roekeloosheid van Dienstverlener.

10.2 Opdrachtgever vrijwaart Dienstverlener voor boetes opgelegd door de Autoriteit Persoonsgegevens of andere toezichthouders als gevolg van tekortkomingen in de naleving van de AVG door Opdrachtgever, tenzij de boete aantoonbaar het gevolg is van een toerekenbare tekortkoming van Dienstverlener.

Artikel 11 — Overmacht

11.1 Dienstverlener is niet gehouden tot het nakomen van enige verplichting indien zij daartoe verhinderd is als gevolg van overmacht. Onder overmacht wordt mede verstaan:

• Uitval of storingen bij onderaanbieders, hostingpartijen of cloudplatformen;
• DDoS-aanvallen of andere cyberaanvallen op de infrastructuur van Dienstverlener of haar onderaanbieders;
• Internet- en telecomstoringen;
• Stroomuitval;
• Overheidsmaatregelen, stakingen, epidemieën en natuurrampen.

11.2 Tijdens de overmachtssituatie worden de verplichtingen van Dienstverlener opgeschort. Duurt de overmacht langer dan dertig (30) dagen, dan hebben beide partijen het recht de overeenkomst schriftelijk te ontbinden zonder schadevergoeding.

Artikel 12 — Vertrouwelijkheid en geheimhouding

12.1 Beide partijen verplichten zich tot geheimhouding van alle vertrouwelijke informatie die zij in het kader van de Overeenkomst van de andere partij hebben ontvangen. Deze verplichting geldt ook na beëindiging van de Overeenkomst, voor een periode van drie (3) jaar.

12.2 Informatie geldt als vertrouwelijk indien dit door de andere partij is medegedeeld of indien dit redelijkerwijs uit de aard van de informatie voortvloeit.

12.3 Bij schending van de geheimhoudingsplicht verbeurt de schendende partij een onmiddellijk opeisbare boete van €5.000,- per overtreding en €500,- voor iedere dag dat de overtreding voortduurt, onverminderd het recht op aanvullende schadevergoeding.

Artikel 13 — Verwerking van persoonsgegevens

13.1 Indien Dienstverlener in het kader van de Diensten persoonsgegevens verwerkt namens Opdrachtgever, treedt Dienstverlener op als verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG). Partijen sluiten in dat geval een afzonderlijke verwerkersovereenkomst.

13.2 Opdrachtgever is en blijft de verwerkingsverantwoordelijke voor de persoonsgegevens die in het kader van de Diensten worden verwerkt.

13.3 Dienstverlener neemt passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, onbevoegde toegang, wijziging of openbaarmaking.

Artikel 14 — Intellectueel eigendom

14.1 Alle intellectuele eigendomsrechten op de door Dienstverlener ontwikkelde of gebruikte software, rapporten, templates, procedures en documentatie berusten bij Dienstverlener of haar licentiegevers.

14.2 Opdrachtgever verkrijgt een niet-exclusief, niet-overdraagbaar gebruiksrecht voor de duur van de Overeenkomst.

14.3 Het is Opdrachtgever niet toegestaan de beveiligingsrapporten of andere door Dienstverlener geproduceerde documenten te delen met derden zonder voorafgaande schriftelijke toestemming, behoudens voor zover dit noodzakelijk is voor de naleving van wettelijke verplichtingen.

Artikel 15 — Exit en transitie

15.1 Bij beëindiging van de Overeenkomst verleent Dienstverlener redelijke medewerking aan een ordelijke transitie van de Diensten naar Opdrachtgever of een door Opdrachtgever aangewezen derde partij.

15.2 Dienstverlener zal binnen dertig (30) dagen na beëindiging:

• Alle door Dienstverlener beheerde beveiligingssoftware deactiveren en de-installatie-instructies verstrekken, tenzij Opdrachtgever verzoekt om eerdere verwijdering;
• Alle persoonsgegevens en klantdata retourneren of wissen conform de verwerkersovereenkomst;
• Een einddocumentatie verstrekken met een overzicht van de actuele beveiligingsconfiguratie, openstaande risico's en aanbevelingen voor de voortzetting van de beveiliging.

15.3 Dienstverlener brengt de redelijke kosten voor transitiewerkzaamheden in rekening op basis van het dan geldende uurtarief, met een maximum van acht (8) uur.

15.4 Na beëindiging van de Overeenkomst is Dienstverlener niet langer verantwoordelijk voor de beveiliging van de ICT-omgeving van Opdrachtgever.

Artikel 16 — Opschorting en ontbinding

16.1 Dienstverlener is gerechtigd de uitvoering van de Diensten op te schorten indien Opdrachtgever niet tijdig aan zijn betalingsverplichtingen voldoet, na een schriftelijke ingebrekestelling met een termijn van veertien (14) dagen.

16.2 Bij opschorting of ontbinding op grond van dit artikel zijn alle vorderingen van Dienstverlener onmiddellijk opeisbaar en is Opdrachtgever gehouden tot vergoeding van alle door Dienstverlener geleden schade.

Artikel 17 — Wijziging van de voorwaarden

17.1 Dienstverlener behoudt zich het recht voor deze algemene voorwaarden te wijzigen. Wijzigingen worden minimaal dertig (30) dagen voor inwerkingtreding schriftelijk medegedeeld aan Opdrachtgever.

17.2 Indien Opdrachtgever niet akkoord gaat met de wijzigingen, kan Opdrachtgever de Overeenkomst opzeggen tegen de datum van inwerkingtreding van de wijzigingen.

Artikel 18 — Klachten

18.1 Klachten over de uitgevoerde Diensten dienen zo spoedig mogelijk, doch uiterlijk binnen veertien (14) dagen na constatering, schriftelijk te worden gemeld aan Dienstverlener.

18.2 Het indienen van een klacht schort de betalingsverplichting van Opdrachtgever niet op.

Artikel 19 — Toepasselijk recht en geschillen

19.1 Op alle rechtsverhoudingen tussen Dienstverlener en Opdrachtgever is uitsluitend Nederlands recht van toepassing.

19.2 Geschillen zullen in eerste instantie in onderling overleg worden opgelost.

19.3 Indien onderling overleg niet tot een oplossing leidt, zullen partijen het geschil voorleggen aan een onafhankelijke mediator, tenzij een der partijen zich tot de rechter wenst te wenden.

19.4 De bevoegde rechter is de rechter in het arrondissement van de vestigingsplaats van Dienstverlener, tenzij dwingend recht anders voorschrijft.

Artikel 20 — Slotbepalingen

20.1 Indien Dienstverlener op enig moment geen beroep doet op een bepaling uit deze voorwaarden, laat dit het recht om op een later moment alsnog een beroep te doen op deze bepaling onverlet.

20.2 Opdrachtgever is niet gerechtigd rechten of verplichtingen uit de Overeenkomst over te dragen aan derden zonder voorafgaande schriftelijke toestemming van Dienstverlener.

20.3 De Nederlandse tekst van deze algemene voorwaarden is bindend.